(12) NACH DEM VERTRAG UBER DIE INTERNATIONALE ZUSAMMENARBEIT AUF DEM GEBIET DES 
PATENTWESENS (PCT) VEROFFENTLICHTE INTERNATIONALE ANMELDUNG 



(19) Weltorganisation fiir geistiges Eigentum 
Internationales Buro 

(43) Internationales Veroffentlichungsdatum 
9. Januar 2003 (09.01.2003) 




PCT 



(10) Internationale Veroffentlichungsnummer 

WO 03/003200 Al 



(51) Internationale Patentklassifikation 7 : G06F 9/445, 

H04Q 7/32 

(21) Internationales Aktenzeichen: PCT/EP02/06994 

(22) Internationales Anmeldedatum: 

25. Juni 2002 (25.06.2002) 



(25) Einreichungssprache: 

(26) VerolTentlichungssprache: 



Deutsch 
Deutsch 



(30) Angaben zur Prioritat: 

101 31 395.0 28. Juni 2001 (28.06.2001) DE 

(71) A n in elder (fur alle Be slim m ungsstaate n mil Ausnahme von 
US): DAIMLERCHRYSLER AG [DE/DE] ; Epplestrasse 
225, 70567 Stuttgart (DE). 



(72) Erfinder; und 

(75) Erfinder/Anmelder (nur fur US): DUERSC HMIDT, 
Ferry [DE/DE] ; Lehenstrasse 31/1, 71292 Friolzheim 
(DE). KRAUTH, Andrej [DE/DE]; Staufcnstrassc 11/1, 
73770 Denkendorf (DE). MUELLER, Michael [DE/DE]; 
Kronblumenweg 38, 70374 Stuttgart (DE). 

(74) Anwalte: LINDNER- VOGT, Karin usw.; Daimler- 
Chrysler AG, Intellectual Property Management, IPM- 
C106, 70546 Stuttgart (DE). 

(81) Bestimmungsstaaten (national): JP, US. 

(84) Bestimmungsstaaten (regional): europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, H, FR, GB, GR, IE, IT, LU, MC, 
NL, PT, SE, TR). 

Veroffentlicht: 

— mil internationalem Recherchenbericht 

[Fortsetzung auf der ndchsten Seite ] 



(54) Title: METHOD FOR TRANSMITTING SOFTWARE MODULES 

(54) Bezeichnung: VERFAHREN ZUM UBERTRAGEN VON SOFTWARE-MODULEN 




^1 (57) Abstract: The invention relates to a method for transmitting software modules from a central unit to a mobile device, especially 
to a means of transport. To achieve this, a bi-directional wireless data transmission device is used and a set of software modules 
is selected. The configuration of the mobile device, which is actually available as transmission begins, is transmitted to the central 
unit. It is then necessary to check which software modules are released for the actually available configuration. Appliance- type 
identifications for the target appliances and software-type identifications for the software modules are used in release definitions 
which are applied in a release test. The software modules which are selected and released for the actually available configuration 

Oare transmitted. Said method can be used in the same way for supplying a single mobile device or families of mobile devices which 
are rich or deficient in variants. 
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vor Ablauf der fur Anderungen der Anspruche geltenden Zur Erkldrung der Zweibuchstaben-Codes und der anderen 
Frist; Verdjfentlichung wird wiederholt, falls Anderungen Abkurzungen wird auf die Erklarungen ("Guidance Notes on 
eintreffen Codes and Abbreviations ") am Anfang jeder reguldren Ausgabe 

der PCT-Gazette verwiesen. 



(57) Zusammenfassung: Die Erfindung bctrifft cin Vcrfahrcn zum Ubcrtragcn von Software -Modulcn von cincr Zcntralc zu ci- 
ner mobilen Vorrichtung, insbesondere zu einem Verkehrs- oder TransportmitteL Fur die Ubertragung wird eine Einrichtung zur 
drahtlosen Dateniibertragung in beiden Richtungen verwendet, und eine Menge von Software -Modulen wird ausgewahlt. Die zu 
Beginn der Ubertragung tatsachlich vorhandene Konfiguration der mobilen Vorrichtung wird an die Zentrale ubermittelt. Gepriift 
wird, welche dieser Software-Module fur die tatsachlich vorhandene Konfiguration freigegeben sind. Dabei werden fur die Ziel-Ge- 
ratc Gcratc-Typ-Kcnnungcn und fur die Software -Module Softwarc-Typ-Kcnnungcn in Frcigabc-Fcstlcgungcn verwendet. Dicsc 
Freigabe-Festlegungen werden bei einer Freigabe-Priifung verwendet. Die ausgewahlten und fur die tatsachlich vorhandene Konfi- 
guration freigegebenen Software-Module werden iibertragen. Das Verfahren ist in gleicher Weise fur die Versorgung einer einzelnen 
mobilen Vorrichtung wie auch fur Familien von variantenreichen oder variantenarmen mobilen Vorrichtungen anwendbar. 
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Verfahren zum Ubertragen von Sof tware-Modulen 



Die Erfindung betrifft ein Verfahren zum Ubertragen von Soft- 
ware-Modulen von einer Zentrale zu einer Ziel-Vorrichtung mit 
Hilfe einer Einrichtung zur Datenubertragung in beiden Rich- 
tungen. Die Ziel-Vorrichtung ist eine mobile Vorrichtung, 
vorzugsweise ein Verkehrs- oder Transportmittel . 

In mobilen Vorrichtungen, insbesondere in Kraf tf ahrzeugen, 
wird eine steigende Anzahl von Geraten verwendet, die durch 
Software-Module gesteuert werden, z. B. Tur-Steuergerate . 
Manche Gerate, z. B. elektronische Navigationssysteme und 
Systeme zur Sprachausgabe, benotigen umfangreiche Datenbib- 
liotheken. Una mobile Vorrichtungen an individuelle Anforde- 
rungen und Wiinsche von Benutzern oder Betreibern anzupassen, 
werden oft Ziel-Gerate in vielen unterschiedlichen Versionen 
und Varianten hergestellt und eingebaut, manchmal auch nach- 
traglich. Durch die Kombination von Varianten entsteht eine 
hohe Zahl unterschiedlicher Konf igurationen von Ziel-Geraten 
an Bord von mobilen Vorrichtungen, die zu einer Familie von 
mobilen Vorrichtungen gehoren. Der Hersteller einer mobilen 
Vorrichtung hat trotz der Variantenvielf alt zu gewahrleisten, 
dass diese Ziel-Gerate in jeder f reigegebenen Kombination im 
laufenden Betrieb sicher zusammenspielen . 

Mit ^Software-Module" werden insbesondere Programme oder Tel- 
le von Programmen, die an Bord von mobilen Vorrichtungen aus- 
gefuhrt werden, und Daten fur solche Programme oder fur Ziel- 
Gerate sowie Parameter von Ziel-Geraten bezeichnet. Mit 
„Ziel-Geraten M werden diejenigen datenverarbeitenden Gerate 
an Bord einer mobilen Vorrichtung bezeichnet, fur die Soft- 
ware-Module zu ubertragen sind, hierzu zahlen insbesondere 
Steuergerate z. B. fur Turen oder die Klimaanlage. Ein zu 
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ubertragender Parameter beeinf lufrt beispielsweise die Funkti- 
onsweise eines Ziel-Gerats oder aktiviert Oder deaktiviert 
ein Programm an Bord der mobilen Vorrichtung. 

Es ist heute noch ublich, zum nachtraglichen Ubertragen von 
Sof tware-Modulen in mobile Vorrichtungen die Ziel-Gerate 
z. B. in einer Werkstatt auszubauen, mit den gewunschten 
Sof tware-Modulen zu versehen und dann wieder einzubauen. In 
manchen Fallen mufi das Ziel-Gerat sogar zum Hersteller ge- 
schickt werden, der zentral die Software-Module iibertragt. 
Diese Wege sind teuer und zeitauf wendig . 

Ein Verfahren nach dem Oberbegriff des Anspruchs 1 ist aus 
DE 68920462 T2 bekannt. Die Aufgabe von DE 68920462 T2 ist 
eine On-line-Problemlosung in einem Kundensystem durch ein 
zent rales Fernwartungs system. 

Eine Problemverwaltungs-Datenbank erhalt Serviceanf orderungen 
als Suchargumente und liefert Losungsansatze fur die Fehler- 
beseitigung . Sie enthalt Eintrage, die eine Vielzahl von Kom- 
ponenten und Symptome als Suchargumente und Problemlosungen 
als Ausgabedaten miteinander verbinden. Vorzugsweise besteht 
die Problemverwaltungs-Datenbank aus drei getrennten Einhei- 
ten, namlich eine Symptomausnahmetabelle mit Eintragen fur 
Hardware-Komponenten, eine APAR-Tabelle fiir Software- 
Komponenten mit vorlaufigen Programmkorrekturen und eine 
MTAR-Tabelle mit Korrekturen fiir Microcode. Die Suchargumente 
sind vorzugsweise Symptomf olgen, die als Ref erenzschliissel 
formatiert sind, welche austauschbare Komponenten („field 
replaceable units™, FRUs) kennzeichnen, und die Nummer und 
den Austrittspunkt eines Problemldsungsverf ahrens kennzeich- 
nen. Beispielsweise besteht die Symptomfolge aus den beiden 
wahrscheinlichsten Fehlern . 

Die Problemverwaltungs-Datenbank von DE 68920462 T2 benotigt 
als Suchargumente entdeckte Symptome und Austrittspunkte von 
Problembest immungsverf ahren . Eine Serviceanf orderung kenn- 
zeichnet ein bestimmtes Kundensystem und Ergebnisse des Prob- 
lembest immungsverf ahrens . Die Problemverwaltungs-Datenbank 
ist so aufgebaut, dass ihre Ausgabedaten die Problemlosung 
festlegen. 
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Die Problemverwaltungs-Datenbank ist notwendigerweise kom- 
plex, unci ihre Auswertung benotigt einige Rechenzeit. Denn in 
der Regel kann ein Bauteil durch unterschiedliche Fehler ge~ 
stort sein, und ein Fehler an einem Bauteil kann Fehler an 
anderen Bauteilen hervorrufen. Daher sind meist wesentlich 
mehr Symptome zu berucksichtigen, als Bauteile vorhanden 
sind. 

Vor der Ubertragung von Sof tware-Modulen wird in 
DE 68920462 T2 auf Konf igurationsdaten der Ziel-Vorrichtung 
zugegriffen. Die Konf iguration der Hardware- und Software- 
Komponenten zum Zeitpunkt der Storung wird dadurch erf aflt . 
Diese Konf igurationsdaten werden von einem Ressourcen- 
Manager- System vorzugsweise in einer Tabelle verwaltet. Fur 
mobile Vorrichtungen ist es - z. B. wegen knapper Speicherka- 
pazitat an Bord - oft nicht oder nur mit Aufwand moglich, 
eine solche Tabelle an Bord zu fuhren und aktuell zu halten. 
Insbesondere im Falle mobiler Vorrichtungen besteht dariiber 
hinaus die Gefahr, dass die Tabelle mit der Konf iguration 
nicht mit der tatsachlichen Konf iguration der Ziel- 
Vorrichtung ubereinstimmt , weil ein Benutzer oder Betreiber 
der mobilen Vorrichtung ein Ziel-Gerat austauscht oder er- 
ganzt. Ein solcher Betreiber oder Benutzer ist in der Regel 
kein DV-Fachmann, sondern z. B. ein Autofahrer. Daher darf 
nicht davon ausgegangen werden, dass eine Konf igurations- 
Tabelle stets die aktuelle Konf iguration der mobilen Vorrich- 
tung enthalt . 

Aus DE 19750372 Al ist ein Verfahren zum Ubertragen von Pro- 
grammen und / oder Daten von einem zentralen Server an ein 
Fahrzeug bekannt. Die Ubertragung erfolgt per Funkverbindung . 
Fahrzeug und Server haben je ein Sende- und Empf angsgerat - 
Gepriift wird, ob der Benutzer eine Zugrif f sberechtigung fur 
die angef orderten Programme und/oder Daten besitzt. Fur diese 
Prtifung werden Daten vom Fahrzeug an die Zentrale gemeldet. 

In DE 19750372 Al wird keine Losung fur die Probleme offen- 
bart, dass viele Varianten der mobilen Vorrichtung im Einsatz 
sein konnen und dass Ziel-Gerate an Bord einer mobilen Vor- 
richtung sich gegenseitig beeinflussen konnen. 
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In DE 19853000 Al wird ein Verfahren zum Versorgen von Kraft- 
fahrzeugen mit Daten sowie zum Austausch, Abfragen, Andern, 
Aktualisieren von Daten offenbart. Verwendet wird eine draht- 
lose Datenubertragungseinrichtung . Die Daten sind vorzugswei- 
se Uberwachungsdaten, z. B. Betriebsdaten von Bremsen, Fahr- 
werk, Olstand, oder sie sind Programme oder Programmteile . 

Aus DE 19532067 CI ist ein Verfahren zum Einprogrammieren von 
Daten in ein Fahrzeug-Bauteil bekannt. Daten werden von einer 
Zentrale an die anfordernde Stelle ubertragen. Insbesondere 
urn unberechtigten Zugriff auf die iibertragenen Daten zuver- 
lassig zu unterbinden, werden Inf ormationen zur I dent it at von 
Fahrzeug, Bauteil und Nutzer an die Zentrale ubermittelt . 

Aus DE 19921845 Al ist eine Diagnosetestvorrichtung fur 
Kraf tf ahrzeuge mit programmierbaren Steuergeraten bekannt. 
Ein externer Diagnosetester ist mit einer Programmer kennungs- 
und Programmladevorrichtung ausgestattet . Bei Bedarf wird die 
jeweils aktuellste Version eines Programms in den Programm- 
speicher des entsprechenden Steuergerats geladen. 

Die oben genannten Druckschrif ten offenbaren Verfahren, um 
Software-Module an eine mobile Vorrichtung zu ubermitteln und 
dabei bei Bedarf Berechtigungs- und Freigabepriif ungen durch- 
zufiihren. Die Priif ungen beziehen sich jeweils auf eine ein- 
zelne mobile Vorrichtung. Jedoch wird bei den Verfahren die 
Moglichkeit nicht beriicksichtigt r dass Software-Module an va- 
riant enreiche mobile Vorrichtungen zu ubertragen sind. Der 
Variantenreichtum wird auch nicht dadurch beriicksichtigt, 
dass - wie in DE 19853000 Al - Uberwachungs daten vom Fahrzeug 
an die Zentrale ubermittelt werden. Der Variantenreichtum re- 
sultiert beispielsweise daher, dass in verschiedenen Exempla- 
ren einer Familie von mobilen Vorrichtungen, z. B. einer 
Fahrzeugf lotte, unterschiedliche Ziel-Gerate eingebaut sind 
oder dass Ziel-Gerate in unterschiedlichen Versionen und Va- 
rianten verwendet werden oder verschiedene Software-Module 
aktiviert worden sind. Der Variantenreichtum kann zu einer 
riesigen Zahl unterschiedlicher Priifungen ftihren, die nicht 
mit vertretbarem Aufwand definiert und validiert werden kon- 
nen. 
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Weiterhin wird nicht die Moglichkeit berucksichtigt , dass ein 
Benutzer oder Betreiber einer mobilen Vorrichtung ein Ziel- 
Gerat erneuert oder nachtraglich erganzt, ohne dass der Her- 
steller der mobilen Vorrichtung hieriiber informiert wird und 
dies bei einer Freigabe-Priif ung nach dem Stand der Technik 
beriicksichtigen kann - Auch beim Verfahren nach 
DE 19532067 CI, bei dem Inf ormationen iiber die Fahrzeug- 
Identitat an die Zentrale iibermittelt werden, wird die Mog- 
lichkeit nachtraglicher Anderungen nicht berucksichtigt. Zwar 
kann die Zentrale sich eine abgespeicherte Konf igurations- 
Datei des Fahrzeugs beschaffen, diese Inf ormationen konnen a- 
ber falsch oder veraltet sein. 

Variantenreichtum und nachtragliche Anderungen sind aber zu 
beriicksichtigen, um sicherzustellen, dass zu jeder mobilen 
Vorrichtung die richtigen Software-Module iibertragen werden 
und sichergestellt wird, dass die iibertragenen Software- 
Module auf dem Fahrzeug fehlerfrei miteinander und mit den 
Ziel-Geraten an Bord zusammenspielen und nicht zu unerwunsch- 
ten oder fehlerhaften Betriebszustanden fiihren. 

Ausgehend von DE 68920462 T2 liegt der Erfindung die Aufgabe 
zugrunde, ein Verfahren nach dem Oberbegriff von Anspruch 1 
zu schaffen, das auch dann gewahrleistet , dass nur die rich- 
tigen und keine anderen Software-Module ubertragen werden, 
wenn variantenreiche Familien von Ziel-Vorrichtungen mit 
Ziel-Geraten verschiedener Hersteller vorliegen oder wenn die 
Moglichkeit nachtraglicher Anderungen an einzelnen Ziel- 
Vorrichtungen, iiber welche die Zentrale nicht informiert 1st, 
zu beriicksichtigen ist. .Weiterhin ist eine Ubertragungs- 
Vorrichtung zur Durchf iihrung des Verfahrens bereitzustellen. 

Die Aufgabe wird durch ein Verfahren nach Anspruch 1 und eine 
Ubertragungs-Vorrichtung nach Anspruch 10 gelost. Vorteilhaf- 
te Ausgestaltungen sind in den Unteranspriichen angegeben. 

Fur die Ubertragung wird eine Einrichtung zur drahtlosen Da- 
teniibertragung in beiden Richtungen verwendet, und eine Menge 
von Sof tware-Modulen wird ausgewahlt. Diese Menge besteht aus 
mehreren Sof tware-Modulen oder aus nur einem einzigen Soft- 
ware-Modul. Inf ormationen iiber die aktuelle Konf iguration der 
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mobilen Vorrichtung werden an die Zentrale iibermittelt. Mit 
„aktueller Konf iguration" wird die tatsachliche zu Beginn der 
Ubertragung vorhandene Konf iguration bezeichnet. Diese Infor- 
mationen umfassen eine Auflistung, welche Ziel-Gerate und 
welche Software-Module zu Beginn der Ubertragung an Bord der 
mobilen Vorrichtung tatsachlich vorhanden sind. Gepruft wird, 
welche dieser Software-Module fur die aktuelle Konf iguration 
freigegeben sind. Die ausgewahlten und fur die aktuelle Kon- 
f iguration f reigegebenen Software-Module werden ubertragen. 

Fur eine Freigabe-Priif ung werden Freigabe-Festlegungen ver- 
wendet, die wie folgt erzeugt werden: Fur die Ziel-Gerate 
werden Gerate-Typ-Kennungen festgelegt, also Kennungen fur 
die Typen von Ziel-Geraten. Fur die Software-Module werden 
Sof t ware -Typ- Kennungen festgelegt. Unter Verwendung der Gera- 
te-Typ-Kennungen und Sof tware-Typ-Kennungen wird festgelegt, 
welche der ausgewahlten Software-Module fur welche Typen von 
Ziel-Geraten freigegeben sind. Diese Freigabe-Festlegungen 
werden verwendet , urn zu entscheiden, welche Software-Module 
fur die zu Beginn der Ubertragung tatsachlich vorhandene Kon- 
f iguration freigegeben sind. 

Das Verfahren ist in gleicher Weise fur die Versorgung einer 
einzelnen mobilen Vorrichtung wie auch fur Familien von vari- 
antenreichen Oder variantenarmen mobilen Vorrichtungen an- 
wendbar. Insbesondere werden auch dann zuverlassig die rich- 
tigen und keine anderen Software-Module ausgewahlt und uber- 
tragen^ wenn in der mobilen Vorrichtung mehrere Ziel-Gerate 
unterschiedlicher Hersteller vorhanden sind und diese Ziel- 
Gerate in unterschiedlichen Versionen und Varianten vorkom- 
men, die unterschiedliche Software-Module benotigen. 

Die richtigen Software-Module werden auch dann ausgewahlt und 
ubertragen, wenn ein Benutzer oder Betreiber der mobilen Vor- 
richtung ein Ziel-Gerat durch ein andersartiges ersetzt hat 
oder nachtraglich ein weiteres Ziel-Gerat erganzt hat. Dies 
wird insbesondere dadurch erreicht, dass ermittelt wird, wel- 
che Ziel-Gerate und Software-Module sich zum Zeitpunkt der 
Ubertragung tatsachlich in der mobilen Vorrichtung befinden. 
Nicht mehr erforderlich ist es, eine Abfrage in einer zentra- 
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len Datenbank mit Konf igurationen von mobilen Vorrichtungen 
durchzuf uhren. Die Eintrage in einer solchen zentralen Daten- 
bank konnen veraltet sein, z. B. weil ein Ziel-Gerat durch 
ein andersartiges ersetzt wurde oder ein Ziel-Gerat erganzt 
Oder entfernt wurde, ohne dass der Hersteller hieriiber infor- 
miert wurde . 

Dank der Verwendung einer drahtlosen Dateniibertragungsein- 
richtung ist es nicht erf orderlich, dass die mobile Vorrich- 
tung zum Ubertragen in eine Werkstatte gefahren oder trans- 
portiert wird. Es ist moglich, ein Sof tware-Modul bereits un- 
mittelbar nach seiner Fertigstellung und / oder Freigabe zu 
ubertragen. 

Einige beispielhaf te Anwendungen, in denen das erf indungsge- 
mafte Verfahren Vorteile gegenuber dem Stand der Technik er- 
bringt, sind die folgenden: 

• Auf Initiative des Kundendienstes eines Fahrzeughers tellers 
wird eine Kundendienstmalinahme fur alle Fahrzeuge eines 
Typs durchgef uhrt . Beispielsweise wird fur alle Fahrzeuge 
einer Baureihe und eines Baujahrs eine neue Version eines 
Sof tware-Moduls ubertragen. Oder eine gesetzliche Bestim- 
mung in einem Staat wird geandert, und Software-Module wer- 
den an Fahrzeuge in diesein Staat ubertragen, urn den gean- 
derten Gesetzen nachzukommen . Besitzer und Nutzer der mobi- 
len Vorrichtung werden informiert, und die Software-Module 
werden bei Einverstandnis erf indungsgemaB ubertragen. Durch 
das erfindungsgemafte Verfahren ist es nicht erf orderlich, 
dass ein Fahrzeug des Typs in eine Werkstatt gebracht wird, 
und es wird sichergestellt , dass die neue Version des Soft- 
ware-Moduls nur auf diejenigen Fahrzeuge ubertagen wird, 
fur deren Konf igurationen sie freigegeben ist. 

• Fur einen bestimmten Fahrzeugtyp sollen umf angreiche Be- 
triebsdaten an Bord auf gezeichnet , vorverarbeitet und an 
eine Zentrale ubermittelt werden. Ein Programm, das die 
Auf zeichnung, Vorverarbeitung und Ubermittlung uberniitimt 
und dabei die Daten gegen unbefugten Zugriff sichert, wird 
durch das erf indungsgemaBe Verfahren ubertragen, nachdem 
der Eigentumer hierzu sein Einverstandnis gegeben hat. 
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Durch die Kenntnis der aktuellen Konf iguration wird sicher- 
gestellt, dass das ubertragene Programm auf die tatsachlich 
an Bord vorhandenen Gerate zugeschnitten ist. 

• Ein Besitzer einer mobilen Vorrichtung kauft voin Hersteller. 
der mobilen Vorrichtung eine zusatzliche Oder verbesserte 
Funktionalitat , die ausschliefilich durch zusatzliche Soft- 
ware-Module auf bereits eingebauten Ziel-Geraten realisiert 
wird. Durch das Verfahren wird es ermoglicht, dass die 
Sof tware-Module ohne einen Werkstattbesuch iibertragen wer- 
den, wenn eine drahtlose Verbindung hergestellt werden 
kann. Sichergestellt wird, dass die Software-Module fur die 
mobile Vorrichtung freigegeben sind. 

• Ein Ziel-Gerat an Bord eines Fahrzeugs ist ausgefallen, und 
das Fahrzeug kann seine Fahrt nicht fortsetzen. Ein War- 
tungstechniker fahrt mit einem neuen Ziel-Gerat zum Fahr- 
zeug. Das neue Gerat ist hinsichtlich der Hardware bau- 
gleich oder wenigstens f unktionsgleich zum ausgef allenen 
Gerat, jedoch sind keine Software-Module in ihm abgespei- 
chert. Die benotigten Software-Module werden durch das er- 
f indungsgemafte Verfahren iibertragen. Dadurch ist es nicht 
erf orderlich, dass der Wartungstechniker die Software- 
Module sowie eine Einrichtung zur Konf igurations-Ermittlung 
und Freigabe-Pruf ung mit sich f uhrt . Da der Wartungstechni- 
ker fur eine Flotte von unterschiedlichen Fahrzeugen mit 
verschiedenen Geraten an Bord verantwortlich ist, ist es 
wegen der Variantenvielf alt nicht moglich, dass er alle 
Software-Module mit sich fuhrt, die beim Ausfall eines 
Ziel-Gerats an Bord eines der Fahrzeuge benotigt werden. 
Das erf indungsgemaBe Verfahren spart erheblich Zeit gegen- 
liber dem Vorgehen ein, dass der Wartungstechniker erst nach 
einem Ausfall eines Gerats ermittelt, welche Software- 
Module fur das neue Gerat benotigt werden, und diese Soft- 
ware-Module dann von einer Zentrale beschafft. 

Die Menge von Sof tware-Modulen wird beispielsweise wie folgt 
ausgewahlt (Anspruch 2) : Die an die Zentrale iibermittelte ak- 
tuelle Konf iguration der mobilen Vorrichtung wird mit einer 
Wunsch- oder Soll-Konf iguration verglichen. Eine Wunsch- 
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Konf iguration wird beispielsweise dadurch erzeugt, dass ein 
Eigentiimer der mobilen Vorrichtung zusatzliche Funktionalita- 
ten erwirbt, eine Soll-Konf iguration dadurch, dass der Her- 
steller der mobilen Vorrichtung vorsieht, dass alle mobilen 
Vorrichtungen einer Baureihe mit einem bestimmten Software- 
Modul versorgt werden. Die Software-Module werden in Abhan- 
gigkeit von der Abweichung zwischen aktueller und Wunsch- 
bzw. Soll-Konf iguration ausgewahlt. Beispielsweise werden al- 
le Software-Module ausgewahlt f die in der Wunsch- bzw. Soll- 
Konf iguration auftreten, aber in der aktuellen Konf iguration 
gar nicht oder nur in einer alteren Version. 

Anspruch 3 sieht vor, dass vor der Ubertragung der Software- 
Module gepruft wird, ob mit Hilfe der drahtlosen Dateniiber- 
tragungseinrichtung ein Ubertragungskanal mit einer fur die 
Ubertragung ausreichenden Gute aufgebaut werden kann. Insbe- 
sondere wird gepruft, ob iiberhaupt eine Verbindung aufgebaut 
wird und ob diese Verbindung eine ausreichende Bandbreite be- 
sitzt. Bevorzugt werden die Software-Module vor der Ubertra- 
gung komprimiert und nach der Ubertragung dekomprimiert , urn 
Ubertragungszeit einzusparen . 

Dank der Ausgestaltung nach Anspruch 4 kann das erf indungsge- 
mafle Verfahren auch dann durchgefuhrt werden, wenn die aktu- 
elle Konf iguration nicht komplett an die Zentrale ubermittelt 
werden kann und daher benotigte Informationen fehlen, bei- 
spielsweise weil nicht alle Informationen uber die aktuelle 
Konf iguration an Bord abgespeichert worden sind oder weil die 
Datenverbindung von der mobilen Vorrichtung zur Zentrale ge- 
stort ist. Hingegen haben diejenigen Informationen uber die 
aktuelle Konf iguration, die an die Zentrale ubermittelt wur- 
den und nicht unzutreffend sind, Vorrang vor den abgespei- 
cherten Konf igurations-Inf ormationen . 

GemaB der Ausgestaltung nach Anspruch 4 werden Informationen 
iiber eine der Zentrale bekannte Konf iguration der mobilen 
Vorrichtung in einem Konf igur at ions -Management -System oder 
Do kumentations- System abgespeichert - Beispielsweise umf aftt 
das System eine Datenbank, in der ein Datensatz fur die mobi- 
le Vorrichtung bei ihrer Fertigstellung angelegt wird. Wah- 
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rend der Ubertragung wird eine Kennung der mobilen Vorrich- 
tung zur Zentrale iibermittelt . Diese Kennung unterscheidet 
diese mobile Vorrichtung wenigstens von alien anderen mobilen 
Vorrichtungen desselben Herstellers. Die an die Zentrale 
iibermittelten Inf ormationen liber die aktuelle Konf iguration 
werden mit den abgespeicherten Inf ormationen uber die Konfi- 
guration verglichen. 

Nachdem die Kennung der mobilen Vorrichtung an die Zentrale 
iibermittelt wurde, wird auf den Datensatz fur diese mobile 
Vorrichtung zugegriffen. Nicht iibermittelte Inf ormationen 
liber die aktuelle Konf iguration werden durch Lesezugriff auf 
die abgespeicherte Konf iguration erganzt. Auf die abgespei- 
cherte Konf iguration wird insbesondere dann zugegriffen, wenn 
die aktuelle Konf iguration nur unvollstandig an die Zentrale 
iibermittelt wird und daher benotigte Inf ormationen uber die 
aktuelle Konf iguration, beispielsweise der Typ eines tatsach- 
lich zum Zeitpunkt der Ubertragung eingebauten Tiir- 
Steuergerates, fehlen. Bevorzugt werden die an die Zentrale 
iibermittelten Inf ormationen uber die aktuelle Konf iguration 
einer Plausibilitatspruf ung unterzogen, urn insbesondere Uber- 
tragungsf ehler zu erkennen. Werden hierbei einzelne Inf orma- 
tionen als of f ensichtlich unzutreffend erkannt , so werden die 
unzutref f enden der iibermittelten Inf ormationen durch die ent- 
sprechenden abgespeicherten Inf ormationen ersetzt. 

Bevorzugt werden die Software-Module nach der Ubertragung zu- 
nachst in einem Puf f erspeicher an Bord der mobilen Vorrich- 
tung abgespeichert . Sie werden dann an die jeweiligen Ziel- 
Gerate verteilt und zu diesen iibertragen. Vorzugsweise werden 
daher gemeinsam mit den Sof tware-Modulen Meta-Inf ormationen 
iibertragen, die die Verteilung und / oder Ubertragung und / 
Oder Aktivierung der Software-Module an Bord der mobilen Vor- 
richtung steuern. 

Die drahtlose Datenverbindung zwischen Zentrale und mobiler 
Vorrichtung kann gestort sein, weswegen die Ubertragung der 
Software-Module nicht fehlerfrei abgeschlossen werden kann. 
Oft ist der Hersteller von mobilen Vorrichtungen gesetzlich 
verpf lichtet, zu dokumentieren, welche Software-Module sich 
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an Bord der von ihm hergestellten mobilen Vorrichtungen be- 
finden. Beispielsweise aus diesen beiden Grunden wird nach 
der Ubertragung mindestens eines der Software-Module die In- 
formation an die Zentrale ubermittelt, ob das Sof tware-Modul 
tatsachlich fehlerfrei an die mobile Vorrichtung ubermittelt 
wurde (Anspruch 5). Bevorzugt wird nach jeder Ubertragung 
eines Sof tware-Moduls eine Information uber das Ergebnis der 
Ubertragung an die Zentrale ubermittelt. Falls bei der Uber- 
tragung Fehler auftraten, wird bevorzugt zusatzlich eine 
Fehlerbeschreibung an die Zentrale ubermittelt. 

Durch die erfolgreiche Ubertragung von Sof tware-Modulen wird 
die aktuelle Konf iguration der mobilen Vorrichtung ver&ndert. 
Insbesondere urn gesetzlichen Auflagen nach einer Produktdoku- 
mentation nachzukommen, wird gemaft Anspruch 6 eine Ruckdoku- 
mentation durchgef uhrt . Hierfur wird die Kennung der mobilen 
Vorrichtung zur Zentrale ubermittelt. Diese Kennung unter- 
scheidet diese mobile Vorrichtung wenigstens von alien ande- 
ren mobilen Vorrichtungen desselben Herstellers . In einem 
Konf igurations-Management-System wird die Information abge- 
speichert, welche Ziel-Gerate-Typen und welche Software- 
Module nach Abschlufi der Ubertragung an Bord der mobilen Vor- 
richtung tatsachlich vorhanden sind. Inf ormationen uber die 
Ziel-Gerate-Typen wurden erf indungsgema.fr bereits fur die 
Freigabe-Priifungen an die Zentrale ubermittelt. 

Die Information, welche Software-Module fehlerfrei und unver- 
falscht ubertragen wurden, wird auch fur eine Synchronisation 
nach einem Fehlerfall, z. B. nach einem Verbindungsabbruch, 
verwendet. Ermittelt wird, welche Software-Module bei einem 
zweiten Versuch fur die Ubertragung vorgesehen werden. 

Die ubertragenen Software-Module werden bevorzugt nur dann 
aktiviert, wenn die mobile Vorrichtung sich in einem sicheren 
Zustand befindet. Ansonsten besteht die Gefahr, dass wahrend 
der Aktivierung eines Sof tware-Moduls oder der dafiir erfor- 
derlichen Deaktivierung eines zuvor vorhandenen Software- 
Moduls die mobile Vorrichtung in einen unerwiinschten Be- 
triebszustand gerat . Beispielsweise ist sicherzustellen, dass 
Software-Module fur Steuergerate an Bord eines Kraf tf ahrzeu- 
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ges nur bei stehendem Fahrzeug aktiviert werden. Anspruch 7 
sieht vor, dass zusatzlich Informationen iiber den aktuellen 
Betriebszustand der mobilen Vorrichtung an die Zentrale uber- 
mittelt werden. In Abhangigkeit von den Betriebszustands- 
Inf ormationen wird entschieden, ob die mobile Vorrichtung 
sich in einem sicheren Zustand befindet. Dann, wenn sie sich 
in einem sicheren Zustand befindet, werden die ubertragenen 
Software-Module aktiviert . 

Die Ubertragung kann sowohl von der Zentrale als auch von 
einer Stelle auBerhalb der Zentrale, beispielsweise einem 
Eigentiimer, Fahrer oder Nutzer der mobilen Vorrichtung, ange- 
fordert werden, beispielsweise mit Hilfe eines Rechners im 
Internet. Die Stelle kann auch die mobile Vorrichtung oder 
ein Ziel-Gerat sein, das automatisch die Ubertragung anfor- 
dert. Bevorzugt wird vor der Ubertragung eine Berechtigungs- 
pruf ung fur die anfordernde Stelle durchgefiihrt (Anspruch 8) . 
Hierfur werden Informationen uber die Identitat der Stelle, 
welche die Ubertragung der Software-Module anfordert, an die 
Zentrale ubermittelt. Beispielsweise werden von einer anfor- 
dernden Person eine PIN, ein Paflwort oder ein Fingerabdruck 
ermittelt und mit abgespeicherten Informationen verglichen. 
Nur bei erf olgreicher Berechtigungspruf ung werden Software- 
Module iibertragen. Durch die Berechtigungspruf ung wird insbe- 
sondere vermieden, dass ein Nutzer sich in den Besitz eines 
kostenpf lichtigen Sof tware-Moduls bringt, ohne dafur bezahlt 
zu haben, und dass die Ubertragung aufgrund eines Fehlers 
ausgelost wird. 

Urn zu verhindern, dass ein Sof tware-Modul beispielsweise bei 
der Abspeicherung auf der mobilen Speicher-Einrichtung oder 
der Ubertragung verfalscht oder manipuliert oder eine unbe- 
rechtigt angefertigte Kopie verwendet wurde, wird eine Kor- 
rektheitsprufung durchgefuhrt (Anspruch 9) . Hierzu wird fur 
mindestens ein Sof tware-Modul eine Signatur erzeugt und auf 
der mobilen Speicher-Einrichtung abgespeichert . Die Signatur 
wird vorzugsweise dadurch erzeugt, dass das Sof tware-Modul 
als Datenstrom behandelt wird und ein Hash-Wert erzeugt wird. 
Mit Hilfe eines geheimen Schliissels wird aus diesem Hash-Wert 
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die Signatur erzeugt. Die Signatur hangt also vom Software- 
Modul und vom geheimen Schliissel ab. 

Weiterhin wird an Bord der mobilen Vorrichtung fur raindestens 
einen Ziel-Gerate-Typ ein offentlicher Schliissel abgespei- 
chert. Mit Hilfe dieses of f entlichen Schlussels wird die Sig- 
natur gepriift. Nur bei positivem Ausgang der Priifung wird das 
Sof tware-Modul als nicht verfalscht und als berechtigt er~ 
kannt . 

Eine Ubertragungs-Vorrichtung zur Durchfiihrung eines Verfah- 
rens nach einem der Anspruche 1 bis 9 umfasst gemafi An- 
spruch 10 eine Einrichtung zur drahtlosen Dateniibertragung 
zwischen Zentrale und mobiler Vorrichtung in beiden Richtun- 
gen und eine Steuerungs-Einrichtung, welche die Ubermittlung 
von Sof tware-Modulen von der Zentrale zur mobilen Vorrichtung 
veranlalit und steuert. Die Steuerungs -Einrichtung ermittelt 
die zu Beginn der Obertragung tatsachlich vorhandene Konfigu- 
ration der mobilen Vorrichtung, wahlt die Menge von Software- 
Modulen aus, und pruft, welche der ausgewahlten Software- 
Module fiir die tatsachlich vorhandene Konf iguration freigege- 
ben sind. Weiterhin veranlaBt die Steuerungs -Einrichtung die 
Obertragung der ausgewahlten und f reigegebenen Software- 
Module- Vorzugsweise ermittelt die Steuerungs-Einrichtung, 
welche Software-Module fehlerfrei an die mobile Vorrichtung 
iibertragen wurden (Anspruch 11) . 

Bevorzugt reagiert die Steuerungs-Einrichtung auf erkannte 0- 
bertragungsf ehler . Beispielsweise veranlaftt sie einen zweiten 
Ubertragungs-Versuch, fiihrt eine Fehlerbehandlung durch oder 
bricht die Ubertragung der Software-Module ab . 

Im folgenden wird ein Ausf uhrungsbeispiel des erf indungsgema- 
Ben Verfahrens anhand der beiliegenden Zeichnungen naher be- 
schrieben. Dabei zeigen: 

Fig. 1. eine beispielhaf te Ausf uhrungsf orm der Erfindung, bei 
der die Software-Module von einer Zentrale mit Hilfe zweier 
verschiedener draht loser Dateniibertragungseinrichtungen zur 
mobilen Vorrichtung iibertragen werden; 
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Fig. 2. eine beispielhaf te Systemarchitektur fur Zentrale und 
mobile Vorrichtung. 

Im Beispiel der Fig. 1 wird wenigstens zeitweise eine Daten- 
verbindung zwischen der Zentrale 10 und dem ersten Fahrzeug 
20.1 und eine weitere Datenverbindung zwischen der Zentrale 
10 und dem zweiten Fahrzeug 20.2 hergestellt. Die drahtlosen 
Datenverbindungen konnen auf die gleiche oder auf unter- 
schiedliche Weisen hergestellt werden. Als zwei Beispiele 
sind in Fig. 1 die drahtlose Ubertragung mit Hilfe eines Sa~ 
telliten 50.1 und die uber ein Mobilf unknetz 50.2 darge- 
stellt. Die Software-Module werden z. B. uber ein Weitver- 
kehrsnetz oder ein lokales Netz ubertragen. Die Zentrale kann 
sich an einem einzigen Ort befinden oder raumlich verteilt 
sein. Insbesondere falls ein Fahrzeug 20.1 oder 20.2 sich 
wahrend der Ubertragung bewegt, kann die iibertragende Zentra- 
le sogar wahrend der Ubertragung wechseln. 

Bei der Ubertragung von Sof tware-Modulen werden fur jedes der 
beiden Fahrzeuge 20.1 und 20.2 die folgenden Verf ahrens- 
schritte ausgef iihrt : 

• Insbesondere dann, wenn der Fahrzeug-Hersteller die Soft- 
ware-Module nur dann ubermittelt, wenn der Eigentumer der 
Ubertragung der Software-Module zugestimmt hat und / oder 
die Software-Module bezahlt hat, wird eine Berechtigungs- 
prufung fur die anfordernde Stelle durchgef uhrt . Hierfur 
wird beispielsweise ein Fingerabdruck einer anfordernden 
Person ermittelt oder eine PIN oder ein PaBwort von einer 
anfordernden Stelle erfafit und anschlieflend Fingerabdruck, 
PIN oder Paliwort an die Zentrale ubermittelt und bei einer 
Berechtigungspruf ung ausgewertet. Nach erf olgreicher Be- 
rechtigungspriifung wird f estgestellt r ob der Eigentumer der 
Ubertragung verbindlich zugestimmt hat. Die folgenden 
Schritte werden nur dann durchgef uhrt , wenn eine Zustimmung 
vorliegt oder nicht erforderlich ist. 
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• Eine eindeutige Kennung des Fahrzeugs, vorzugsweise eine 
Fahrzeug-Ident-Nummer f wird ermittelt und an die Zentrale 
ubermittelt . Diese Kennung unterscheidet das Fahrzeug von 
alien anderen Fahrzeugen dieses Herstellers. Zusatzlich 
werden die Baureihe, das Baumuster und das Baujahr und das 
Jahr der letzten Anderung ubermittelt. Diese Inf ormationen 
lassen sich zwar oft durch Lesezugriff auf ein zentrales 
Konf igur at ions -Management -System ermitteln. Werden sie aber 
vom Fahrzeug zur Zentrale ubermittelt, so wird ein oft 
zeitraubender Lesezugriff eingespart. 

• Die aktuelie Konf iguration des Fahrzeugs wird ermittelt und 
an die Zentrale ubermittelt. Hierbei wird ermittelt, welche 
Ziel-Gerate vor Beginn der Ubertragung an Bord des Fahr- 
zeugs tatsachlich eingebaut sind und welche Software-Module 
vor Beginn der Ubertragung an Bord des Fahrzeugs tatsach- 
lich aktiviert und / oder abgespeichert sind. Vorzugsweise 
werden Typ-Kennungen fur die aktuell eingebauten Gerate und 
bereits vorhandenen Software-Module, z. B. Sachnummern und 
Variant ennummern, ubermittelt. Diese Ermittlung wird bevor- 
zugt dadurch ausgefuhrt, dass in jedem Ziel-Gerat ein Spei- 
cher vorhanden ist, in deiu die Konf igurations-Inf ormationen 
uber dieses Ziel-Gerat abgespeichert sind und der z. B. 
iiber einen Datenbus angesprochen und ausgelesen wird. Al- 
ternative Ausfiihrungsf ormen bestehen daraus, einen zentra- 
len Speicher an Bord des Fahrzeugs oder Speicherchips, die 
an den Ziel-Geraten angebracht sind, auszulesen. Insbeson- 
dere dann, wenn ein Speicher in einem Ziel-Gerat aufgrund 
eines Defekts nicht ausgelesen werden kann oder wenn der 
Speicher eines neuen Ziel-Gerats noch nicht geftillt ist, 
besteht ein Notbehelf darin, Markierungen an Geraten, z. B. 
Strichcodes, optisch zu erf assen. 

• Bei Bedarf werden die Inf ormationen uber die aktuelie Kon- 
figuration mit einem Datensatz uber die Konf iguration des 
Fahrzeugs verglichen, der in einem Konf igurations- 
Management-System abgespeichert ist. Dies wird beispiels- 
weise dann durchgef uhrt , wenn die ubermittelten Inf ormatio- 
nen uber die aktuelie Konf iguration luckenhaft oder erkenn- 
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bar fehlerhaft sind. Zur Erkennung von derartigen Fehlern 
wird bevorzugt eine Plausibilitatspruf ung der vom Fahrzeug 
ubermittelten und der abgespeicherten Inf orinationen uber 
die Konf iguration durchgef uhrt . 

• Ausgewahlt wird eine Menge von Sof tware-Modulen, die von 
der Zentrale zum Fahrzeug ubertragen werden. Die Auswahl 
hangt von der aktuellen Konf iguration des Fahrzeugs, vom 
Anwendungsf all und von der Kundenanf orderung ab. 

• Nur diejenigen Software-Module werden ubertragen, die fur 
die aktuelle Konf iguration des Fahrzeugs freigegeben sind. 
Fur jedes Sof tware-Modul wird eine Freigabe-Pruf ung durch- 
gef uhrt, indem Freigabe-Festlegungen ausgewertet werden. 
Diese Freigabe-Festlegungen umfassen Typ-Kennungen fur 
Ziel-Gerate und Software-Module. Eine Ausf iihrungsf orm wird 
weiter unten beschrieben. Mogliche Ergebnisse der Freigabe- 
Prufung sind, dass alle, einige oder gar keines der ausge- 
wahlten Software-Module als freigegeben erkannt werden. 

• Uberpruft wird, ob die ausgewahlten Software-Module jetzt 
ubertragen werden konnen. Hierbei wird f estgestellt , ob mit 
Hilfe der drahtlosen Datenubertragungseinrichtung uberhaupt 
eine Verbindung zwischen Zentrale und Fahrzeug vorhanden 
ist oder aufgebaut werden kann und ob der Ubertragungskanal 
eine fur die Ubertragung ausreichende Gute, insbesondere 
eine ausreichende Bandbreite besitzt. Diese Gute kann von 
dem sende- und Empf angsgerat 190 an Bord des Fahrzeugs ab- 
hangen. Beispielsweise wird eine untere Schranke fur die 
Bandbreite oder eine obere Schranke fur den Zeitraum, den 
die Ubertragung in Anspruch nimmt, vorgegeben und mit der 
tatsachlich verfiigbaren Bandbreite verglichen. Aus der tat- 
sachlich verfiigbaren Bandbreite und der Gesamtgrolie der 
ausgewahlten Software-Module wird bei Bedarf ein Wert fur 
den Zeitbedarf der Ubertragung vorhergesagt . 

• Die ausgewahlten und fur die aktuelle Konf iguration freige- 
gebenen Software-Module werden komprimiert , so dass die 
komprirnierten Software-Module weniger Speicherplatz als die 
nicht komprirnierten einnehmen. Bekannt sind verschiedene 
Verfahren zum Komprimieren von Daten. 
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• Die ausgewahlten und fur die aktuelle Konf iguration freige- 
gebenen Software-Module werden fur die Ubertragung konver- 
tiert. Bei Bedarf werden die Software-Module in Telle auf- 
geteilt. Gemeinsam mit jedem Sof tware-Modul oder Software- 
Modul-Teil werden Meta-Inf ormationen iibertragen, die die 
Verteilung und Ubertragung der Software-Module an Bord so- 
wie deren Aktivierung steuern. Zu diesen Meta-Inf ormationen 
zahlen Parameter, die das verwendete On-Board- 
Ubertragungsprotokoll benotigt . 

• Die ausgewahlten und fur die aktuelle Konf iguration freige- 
gebenen Software-Module werden von der Zentrale zum Fahr- 
zeug iibertragen. Als Ubertragungstechnik wird beispielswei- 
se ein Mobilf unk-Standard, z. B. GSM oder UMTS, eingesetzt. 
Vorzugsweise wird ein zur gewahlten Ubertragungstechnik 
passendes Protokoll, z. B . das dateibasierte Protokoll zMo- 
dem, verwendet. Dadurch wird insbesondere nach einem Ab- 
bruch der Verbindung eine sichere Fehlerbehandlung mit Syn- 
chronisation erleichtert, die weiter unten beschrieben 
wird. 

• Vorzugsweise werden die iibertragenen Software-Module an 
Bord des Fahrzeugs in einem Puf f erspeicher abgespeichert . 

• Festgestellt wird, welche Software-Module fehlerfrei iiber- 
tragen wurden. Diese Information wird an die Zentrale uber- 
mittelt. Beispielsweise wird nach jeder erf olgreichen Uber- 
tragung eines Sof tware-Moduls eine Ruckmeldung an die Zent- 
rale ubermittelt, oder nach erf olgreicher Ubertragung aller 
Software-Module wird diese Information an die Zentrale 
ubermittelt. Fur die Feststellung wird vorzugsweise fur je- 
des Sof tware-Modul oder jedes Sof tware-Modul -Teil eine 
Soll-Priif summe nach dem CRC-Verf ahren ermittelt und iiber- 
tragen. Nach der Ubertragung wird an Bord der mobilen Vor- 
richtung eine Ist-Priif summe ermittelt und mit der Soll- 
Priif summe verglichen . 

• Vorzugsweise werden Verschliisselungs-Inf ormationen gemein- 
sam mit den Sof tware-Modulen iibertragen, urn zu priifen, ob 
die Software-Module aus einer vertrauenswiirdigen Quelle 
stammen und unverfalscht iibertragen wurden. Beispielsweise 
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wird ein Sof tware-Modul in der Zentrale verschliisselt und 
an Bord der mobilen Vorrichtung wieder entschliisselt . Ein 
Verfahren hierfur ist aus DE 195 32 067 CI bekannt . Oder 
ein Sof tware-Modul wird unverschliisselt , aber gemeinsam mit 
einer Signatur iibertragen. Die Signatur wird mit Hilfe 
eines geheimen Schlussels in der Zentrale erzeugt und mit 
einem offentlichen Schlussel verglichen, der beispielsweise 
zuvor auf einem anderen Kanal zur mobilen Vorrichtung iiber- 
mittelt wurde. 

• Falls festgestellt wurde, dass ein Sof tware-Modul nur feh- 
lerhaft, verfalscht oder gar nicht iibertragen wurde, so 
wird ein zweiter Versuch der Ubertragung durchgef iihrt . 
Falls zwischen erstem und zweiten Versuch eine groiiere 
Zeitspanne verstrichen ist, wird erneut die aktuelle Konfi- 
guration des Fahrzeugs ermittelt, denn diese kann in der 
Zwischenzeit verandert worden sein. Scheitert auch der 
zweite Versuch, so wird die unten beschriebene Fehlerbe- 
handlung durchgef iihrt . 

• Daten iiber den aktuellen Betriebszustand des Fahrzeugs wer- 
den erf aft t und an die Zentrale iibermittelt . Diese Daten urn- 
fassen beispielsweise die aktuelle Fahrgeschwindigkeit , den 
Motorzustand, den Ladezustand der Batterie und die aktuelle 
Position des Fahrzeugs. Aufgrund des Betriebszustands wird 
entschieden, ob die iibertragenen Software-Module jetzt ak- 
tiviert werden. Dabei wird insbesondere gepruft, ob das 
Fahrzeug sich in einem sicheren Zustand befindet. Bei- 
spielsweise wird der Ladezustand der Batterie beriicksich- 
tigt, urn sicherzustellen, dass wahrend der gesamten Akti- 
vierung genugend elektrische Spannung zur Verfugung steht. 
Die aktuelle Position wird beispielweise ausgewertet, urn zu 
prufen, in welchem Land oder z. B. US-Bundesstaat sich das 
Fahrzeug befindet, urn bei Bedarf zu prufen, ob landerspezi- 
fische gesetzliche oder technische Randbedingungen zu be- 
achten sind. Bei Bedarf wird der Fahrer des Fahrzeugs gebe- 
ten, das Fahrzeug in einen sicheren Zustand zu bringen, 
z. B. es anzuhalten, und dies zu bestatigen. Dies wird 
z. B. durch Sprachausgabe und -eingabe oder dadurch durch- 
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gefiihrt, dass Meldungen angezeigt werden und der Fahrer ge- 
beten wird, diese zu bestatigen. 

• Falls alle Software-Module fehlerfrei und unverfalscht 
iibertragen wurden oder der Puf f erspeicher vollstandig ge- 
ftlllt ist und falls das Fahrzeug sich in einem sicheren Zu- 
stand befindet, werden die ubertragenen Software-Module aus 
dem Puf f erspeicher in die Ziel-Gerate iibertragen, vorzugs- 
weise uber einen Datenbus an Bord des Fahrzeugs. Bei Bedarf 
werden sie zuvor dekomprimiert . Fur diesen Vorgang werden 
die Met a- In format ion en ausgewahlt. Nach der Ubertragung zu 
den Geraten werden die Gerate bei Bedarf deaktiviert , die 
Software-Module aktiviert und danach die Gerate wieder ak- 
tiviert . 

• In der Zentrale, z. B. in einem Konf igurations-Management- 
System, wird die aktuelle Konf iguration der mobilen Vor- 
richtung nach der Ubertragung abgespeichert . Die aktuelle 
Konf iguration umfafit die Informationen, welche der Ziel- 
Gerate an Bord tatsachlich eingebaut sind und welche Soft- 
ware-Module entweder fehlerfrei iibertragen und aktiviert 
wurden oder bereits vor der Ubertragung aktiviert und durch 
die Ubertragung nicht verandert wurden. 

• Ein Konf igur at ions-Management -System in der Zentrale umfaftt 
einen Datensatz fur das Fahrzeug. Dieser Datensatz wird 
nach der Ubertragung aktualisiert , so dass er nach der Ak- 
tualisierung Inf ormationen daruber enthalt, welche der 
Ziel-Gerate an Bord tatsachlich eingebaut . sind und welche 
Software-Module nunmehr aktiviert sind. 

• Eine Fehlerbehandlung ist insbesondere dann erf orderlich, 
wenn eine vorgegebene Anzahl von Versuchen Versuche schei- 
tern, alle Software-Module fehlerfrei zu iibertragen; bei- 
spielsweise weil keine Verbindung zwischen Zentrale und 
Fahrzeug hergestellt werden kann. Bevorzugt wird bei einer 
Fehlerbehandlung eine Synchronisation durchgef iihrt . Hierbei 
wird f estgestellt r welche Software-Module fehlerfrei iiber- 
tragen wurden. Der Datensatz fur das Fahrzeug im zentralen 
Konf igurations-Management-System wird aktualisiert f und ein 
Fehlerprotokoll wird generiert. Zu einem spateren Zeitpunkt 
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wird ein erneuter Ubertragungsversuch begonnen, der von 
einem definierten Zustand ausgeht. 

Fig. 2 zeigt eine beispielhaf te Systemarchitektur fur die 
Zentrale 10 und das Fahrzeug 20. Die Zentrale 10 umfaftt die 
f olgenden Komponenten : 

ein Central Remote Flashing Manager 160 , der die Ubermitt- 
lung von Software-Modulen von der Zentrale zur mobilen Vor- 
richtung veranlaftt und steuert und dabei Software-Module 
auswahlt und prtift, ob sie fur die aktuelle Konf iguration 
freigegeben sind, 

eine Steuerungs- und Regelungs-Einrichtung 110^ mit dem die 
erf orderlichen MaBnahmen zum fjbertragen von Software- 
Modulen erfaftt und aufgelistet und veranlaftt werden und 
durch das die Durchfuhrung der MaBnahmen iiberwacht wird, 

- ein Logistiksystem 130, das die benotigten Software-Module 
identif iziert, auswahlt und fur die Ubertragung bereit- 
stellt , 

- ein Abrechnungs- System 14 0, das die Ubertragungsvorgange 
kaufmannisch abwickelt und dabei insbesondere die Rech- 
nungslegung durchfuhrt und die Zahlungsvorgange iiberwacht, 

ein Informations system 150, das den Eigentiimer und / Oder 
Fahrer des Fahrzeugs vor der Ubertragung iiber angebotene 
und durch Software-Module realisierbare funktionale Erwei- 
terungen und Anderungen durch Software-Module und nach der 
Ubertragung iiber die erfolgreiche Ubertragung oder iiber 
aufgetretene Fehler informiert und das beispielsweise das 
Internet verwendet oder die Versendung von Briefen auslast, 

ein Entscheidungsunterstiitzungs -System 170, mit dessen Hil- 
fe Software-Module in Abhangigkeit von der aktuellen Fahr- 
zeug-Konf iguration und der durchzuf iihrenden Kundendienst- 
MaBnahme ausgewahlt werden, 

eine Sende- und Empf angseinrichtung 18 0 in der Zentrale 
(10) und 

eine Sende- und Empf angseinrichtung 190, die mit dem Fahr- 
zeug 20.1, 20.2 verbunden 1st. 
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Die Sende- und Empf angseinrichtungen 180 und 190 sind bei- 
spielsweise als Knoten eines Mobilf unknet zes , das z. B. mit 
den Ubertragungsverfahren GSM oder UMTS arbeiten, oder fur 
eine Ubertragung mittels Satelliten ausgebildet. An Bord 
eines Fahrzeugs konnen mehrere Sende- und Empf angseinrichtun- 
gen 190 eingebaut sein. 

Im folgenden wird an einem Ausf iihrungsbeispiel beschrieben, 
wie die Freigabe-Priif ung durchgef uhrt wird und welche Freiga- 
be-Festlegungen hierfur ausgewertet werden. In dem Ausf iih- 
rungsbeispiel werden zwei Ziel-Gerate an Bord eines Kraft- 
fahrzeugs 20.1, 20.2 mit Sof tware-Modulen versorgt: eine 
Zentraleinheit eines Systems zur Sprachausgabe, die z. B. 
Meldungen an den Fahrer in naturlicher Sprache vorliest, und 
ein Steuergerat fur das Tursystem. Die Zentraleinheit ist mit 
einem Sende- und Empf angsgerat fur drahtlose Datenubertragung 
und uber einen Datenbus mit dem Steuergerat verbunden. 

Die beiden Ziel-Gerate stammen von unterschiedlichen Herstel- 
lern und werden in verschiedenen Varianten in Fahrzeuge ein- 
gebaut. Die Sprachausgabe soil in mehreren Sprachen moglich 
sein. Die Software-Module fiir alle Varianten der beiden Ziel- 
Gerate werden erzeugt und in der Zentrale abgespeichert . 

Der Typ eines Ziel-Gerats und der eines Sof tware-Moduls wer- 
den durch jeweils eine Sachnummer und eine Variantennummer 
gekennzeichnet . Die Sachnummer ist eine Abfolge von Ziffern 
und Buchstaben, die innerhalb des Produktspektrums des Fahr- 
zeug-Herstellers eindeutig ist. Die Variante wird durch eine 
Zahl mit drei Ziffern gekennzeichnet. 

Die Freigabe-Festlegungen sind beispielsweise in einer rela- 
tionalen Datenbank in Form von Datensatzen in der Zentrale 
abgespeichert. Fiir eine Freigabe-Priif ung wird diese Datenbank 
eingelesen und ausgewertet. Ein Prinzip ist, dass ein Soft- 
ware-Modul nur dann fiir einen Typ von Ziel-Geraten freigege- 
ben ist, wenn eine entsprechende Freigabe-Festlegung in der 
Freigabe-Datenbank vermerkt ist, ansonsten nicht . 

Jeder Freigabe-Datensatz umfaftt folgende Datenf elder: 

Baureihe, 
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Region, 

Ziel-Gerate-Typen, 
Zulieferer, 

Beschreibung__Hardware r 
- Art_der_Sof tware , 
Software-Module , 
Beschreibung_Software, 
gultig_ab, 
Vorausset zung. 

Mit ^Baureihe^ ist die Baureihe des Fahrzeugs gemeint, auf 
das sich der Freigabe-Datensatz bezieht, z. B . W212. In den 
Datenfeldern „Ziel-Gerate-Typ" und „ Software-Module^ werden 
Gerate- bzw. Sof tware-Typ-Kennungen auf gef iihrt , was im fol- 
genden beispielhaft erlautert wird. Der in dem Datenfeld 
„giiltig_ab M eingetragene Zeitpunkt legt fur den Datensatz den 
Beginn des Freigabe-Zeitraums fest- Die im Datensatz genann- 
ten Software-Module sind nur dann fur die genannten Ziel- 
Gerate-Typen freigegeben, wenn der Zeitpunkt der Obertragung 
nach dem durch das Datenfeld „gultig_ab" festgelegten Zeit- 
punkt liegt , Die Freigabe kann an eine Freigabe-Bedingung ge- 
bunden sein, die vorzugsweise als Boole' scher Ausdruck formu- 
liert wird. Die Inhalte der Datenfelder „Beschrei- 
bung_Hardware M und „Beschreibung_Sof tware" werden nicht auto- 
matisch ausgewertet. Sie erlautern vielmehr einem Bearbeiter 
die Typ-Kennungen . 

In dem folgenden Beispiel stammt die Software fur die Zent- 
raleinheit vom Zulieferer XY, die fur das Ttir-Steuergerat von 
den Zulieferern AB (fur den europaischen Markt) und FG (fur 
den US-amerikanischen Markt) . Typen von Ziel-Geraten und 
Software-Module werden durch Sachnummern gekennzeichnet , die 
mit HW bzw, SW beginnen, gefolgt von drei oder vier Ziffern. 
Varianten sind durch drei Ziffern gekennzeichnet. SW-212-001 
bezeichnet z. B . ein Sof tware-Modul mit der Sachnummer SW-212 
und der Variantennummer 001. Typ-Kennungen, zusammengesetzt 



WO 03/003200 



23 



PCT/EP02/06994 



aus Sachnununern und Variantennummern, sind in eckige Klammern 
[] gesetzt. 



1. Datensatz 


Da f* en f"p 7 H 


Inha.lt 

— L 1111 CZ ~L o 


Baureihp 


W212 


Region 


EUR 


Z iel — Gerat e — Typen 


[HW-1001-001] [HW-1 0 01-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fiir Europa 


Art der Software 


OS 


Software -Module 


[SW-101-001] 


Beschreibung Software 


Betriebssystem fur Zentraleinheit , VI 


giiltig ab 


1.1.1999 


Freigabe-Bedingung 




Das Software-Modul [SW-101-001] ist durch den 1. Datensatz 
fur die Ziel-Gerate-Typen [HW-1001-001] und [HW-1001-002 ] in 
Europa f reigegeben . 


2. Datensatz 




Da ten f eld 


Tnha.lt '—- 


Baureihe 


W212 


Region 


EUR 


Ziel-Gerate-Typen 


[HW-1001-001] [HW-1001-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fur Europa 


Art der Software 


APPL 


Software-Module 


[SW-111-001] 


Beschreibung Software 


Anwendung fiir Zentraleinheit , VI 
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gultig ab 


1.3.1999 


Freigabe-Bedingung 




Das Software-Modul [SW-111-Q01] ist durch den 2. Datensatz 
fur die Ziel-Gerate-Typen [HW-1001-001] und [HW-1001-002 ] in 
Europa f reigegeben . 


3. Datensatz 




Da. tenfeld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW-1002-001] [HW-1002-002] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fur USA 


Art der Software 


OS 


Software-Module 


[SW-102-001] 


Beschreibung Software 


Betriebssystem fur Zentraleinheit, VI 


gultig ab 


1.4.1999 


Freigabe-Bedingung 




Das Software-Modul [SW-102-001] ist durch den 3, Datensatz 
fur die Ziel-Gerate-Typen [HW-1002-001] und [HW-1002-002 ] in 
den USA f reigegeben. 


4. Datensatz 




Datenfeld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW-1002-001] [HW-1002-0 02] 


Zulief erer 


XY 


Beschreibung Hardware 


Zentraleinheit fur USA 
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Art der Software 


APPL 


Software -Module 


[SW-112-001] 


Beschreibung Software 


Anwendung fiir Zentraleinheit , VI 


giiltig ab 


1. 4 .1999 


Freigabe-Bedingung 


[HW-1102-00n] AND ( [HW-2102-001] OR 
[HW-2102-002] ) AND NOT [HW-2302-00n] 



Das Software-Modul [SW-112-001] ist durch den 4. Datensatz 
fur die Ziel-Gerate-Typen [HW-1002-001] und [HW-1002-002 ] in 
den USA freigegeben, falls die Freigabe-Bedingung erfullt 
ist. Die Freigabe-Bedingung ist erfullt r wenn 



- ein Ziel-Gerat vom Typ HW-1102 und einer der Varianten 001 
bis 009 

- und ein Ziel-Gerat vom Typ HW-2102 und der Variante 001 o- 
der 002 

- und kein Ziel-Gerat vom Typ HW-2302, das von einer der Va- 
rianten 001 bis 009 ist, 

eingebaut ist, Hierbei ist OOn eine abkurzende Bezeichnung 
fur die Varianten 001 bis 009. 



5. Datensatz 



Da ten f eld 


Inhalt 


Baureihe 


W212 


Region 


EUR 


Ziel-Gerate-Typen 


[HW-200 1-001] [HW-2001-002] 


Zulief erer 


AB 


Beschreibung Hardware 


Tiir-Steuergerat fur Europa 


Art der Software 


TOOL 


Software -Module 


[SW-221-001] 


Beschreibung Software 


Diagnose fiir Tur-Steuergerat, VI 


giiltig ab 


1.5.1999 
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Freigabe-Bedingung [ [HW-20Q2-001] OR [HW-23O2-00n] 



Das Software-Modul [SW-221-001] ist durch den 5. Datensatz 
fur die Ziel-Gerate-Typen [HW-2001-001] und [HW-2001-002] in 
Europa freigegeben, falls die Freigabe-Bedingung erfiillt ist. 
Die Freigabe-Bedingung ist erfiillt, wenn an Bord 

- ein Ziel-Gerat vom Typ [HW-2 002-001 ] 

- oder ein Ziel-Gerat vom Typ HW— 2 302, das von einer der Va- 
rianten 001 bis 009 ist, 

eingebaut ist. 



6. Datensatz 



Da ten f eld 


Inhalt 


Baureihe 


W212 


Region 


USA 


Ziel-Gerate-Typen 


[HW-2 002-001] [HW-2 002-002] 


Zulief erer 


FG 


Beschreibung Hardware 


Tur-Steuergerat fur USA 


Art der Software 


TOOL 


Software-Module 


[SW-222-001] 


Beschreibung Software 


Diagnose fur Tur-Steuergerat, VI 


gultig ab 


1. 6. 1999 


Freigabe-Bedingung 


[SW-221-001] 



Das Software-Modul [SW-111-001] ist durch den 6. Datensatz 
fur die Ziel-Gerate-Typen [HW-1001-001] und [HW-1001-002 ] in 
den USA freigegeben, falls an Bord das Software-Modul [SW- 
221-001] aktiviert ist. 



Bei der Auswertung der Freigabe-Datei wird fur jedes Ziel- 
Gerat, das iru Fahrzeug vorkorumt, die Freigabe-Datenbank 
durchsucht. Fur jeden Datensatz wird das Datenfeld „Baureihe" 
abgeglichen und das Datenfeld ^Ziel-Gerate-Typen^ ausgewer- 
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tet. 1st an Bord ein Ziel-Gerat eines er im Datenfeld „Ziel- 
Gerate-Typen" genannten Typen eingebaut, so wird festge- 
stellt, ob eine Freigabe-Bedingung formuliert ist. 1st dies 
der Fall, so wird gepriift, ob die Freigabe-Bedingung auf Er- 
fulltsein gepriift. Ist die Freigabe-Bedingung erfullt oder 
ist keine Freigabe-Bedingung formuliert , so sind alle Soft- 
ware-Module fur das Fahrzeug freigegeben, die im Datenfeld 
„Sof tware-Module" des Datensatzes genannt sind. Welche der 
f reigegebenen Software-Module tatsachlich ubertragen werden, 
hangt davon ab, welche Software-Module ausgewahlt worden 
sind. 

Fur jedes Sof tware-Modul werden weiterhin Konf igurations- und 
Sicherheits-Inf ormationen beispielsweise in zwei Datenbanken 
fur Software-Module und zwei fur Sof tware-Modul-Teile er- 
zeugt, in der Zentrale abgespeichert und bei der Ubertragung 
ausgewertet. Die eine Datenbank ist die Konf igurations- 
Datenbank, die andere die Sicherheits-Datenbank. 

Die Inf ormationen in der Konf igurations-Datenbank legen fest, 
welche Dateien zum Sof tware-Modul gehoren, wo diese Dateien 
abgespeichert sind und in welcher Reihenfolge sie wohin, 
d. h. zu welchem Ziel-Gerat, ubertragen werden. Mit Hilfe der 
Sicherheits-Inf ormationen werden Ubertragungsf ehler und Mani- 
pulationen erkannt . 

Ein Datensatz fur ein Sof tware-Modul in der Konf igurations- 
Datenbank fur Software-Module umfafit beispielsweise folgende 
Datenf elder : 

Sof tware-Modul , 

Ziel-Adresse, 

- GroBe, 

- Speicherort, 
Prufverf ahren, 
Prtif summe, 
Teile__Kennungen . 

i 
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Das Datenfeld „Ziel-Adresse M gibt die Ziel-Adresse des Ziel- 
Gerats auf dem Datenbus im Fahrzeug an, z. B. #57 fur das 
Txir-Steuergerat und #20 fur die Zentraleinheit . 

Das Datenfeld „GroBe" gibt die Grofte des Sof tware-Moduls in 
KByte an. Diese Angabe wird z. B. fur eine Fortschritt sanzei- 
ge beim Ubertragen verwendet . Festgestellt wird, wie viele 
KByte bereits ubertragen sind, und durch die Angabe in der 
Konf igurations-Datei ist bekannt, wie viele KByte insgesamt 
zu ubertragen sind. Der Quotient gibt den Arbeitsf ortschritt 
an, der z. B. als Balken angezeigt wird. 

Das Datenfeld „Speicherort" gibt an, wo dieses Sof tware-Modul 
in der Zentrale abgespeichert ist, beispielsweise in Form ei- 
nes Pfades eines Betriebssystems oder einer Zugrif f sinf orma- 
tion auf eine Datenbank. 

Das Datenfeld „Teile__Kennungen" ist nur dann ausgefullt, wenn 
das Sof tware-Modul nicht auf einmal, sondern in mehreren Tei- 
len ubertragen wird. 

Beispielsweise umfaftt der Datensatz fur das Sof tware-Modul 
[SW-111-001] in der Konf igurations-Datenbank folgende Eintra- 
ge : 



7. Datensatz 



Datenfeld 


Inhalt 


Sof tware-Modul 


[SW-111-001] 


Ziel-Adresse 


#20 


Grofie 


256 


Speicherort 


/XY/EUR/APPL/V1 


Pruf verf ahren 


CRC 


Priif summe 


4758A08C 


Telle Kennungen 





Durch den 7. Datensatz wird festgelegt, dass die Ubertragung 
des Software-Moduls [SW-111-001] mit dem CRC-Verf ahren ge- 
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pruft wird. Durch die Prufung wird f estgestellt, ob bei der 
Ubermittlung zum Fahrzeug und der Speicherung an Bord des 
Fahrzeugs ein Ubertragungsf ehler aufgetreten ist. Als Priif- 
summe wird ein CRC-Wert, in diesem Beispiel die Hexadezimal- 
zahl 4758A08C, angegeben. Das Sof tware-Modul wird auf einmal 
iibertragen, daher ist das Datenfeld „Teile_Kennungen" leer. 

Falls ein Sof tware-Modul in mehreren Teilen iibertragen wird, 
so werden jedem Sof tware-Modul -Teil ein eigenes Priif verfahren 
und eine eigene Priif summe zugewiesen. 

Fur jedes der Sof tware-Modul-Teile wird in der Konfigurati- 
ons-Datenbank fur Teile ein eigener Datensatz mit folgenden 
Feldern angelegt: 

- Teile-Kennung, 
GroBe, 

Speicherort, 

- Priif verfahren, 

- Priif summe. 

Das Datenfeld „Speicherort" gibt an, wo dieser Software- 
Modul-Teil in der Zentrale abgespeichert ist. 

Ein Datensatz in der Sicherheits-Datenbank umfaiit folgende 
Datenf elder : 

Sof tware-Modul, 

- Ziel-Gerate-Typ, 
Signatur. 



8. Datensatz 



Datenfeld 


Inhalt 


Software -Modul 


[SW-111-001] 


Ziel-Gerate-Typ 


[HW-1001-001] 


Signatur 


85A47D238 
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9. Datensatz 



Datenfeld 


Inhalt 


Sof tware-Modul 


[SW-111-001] 


Ziel-Gerate-Typ 


[HW-1001-002] 


Signatur 


9CA47D236 



Das Sof tware-Modul [SW-111-001] 1st in diesem Beispiel fur 
zwei Varianten von Ziel-Geraten freigegeben, namlich fur die 
Varianten 001 und 002 des Typs HW-1001. Daher werden zwei 
verschiedene Signaturen erzeugt und in dem 8, und 0, Daten- 
satz abgespeichert, namlich eine Signatur pro Variante des 
Ziel-Gerate-Typs . Die Signatur fur eine Variante wird vor- 
zugsweise dadurch erzeugt, dass die Variante als Datenstrom 
behandelt wird und ein Hash-Wert erzeugt wird. Mit Hilfe 
eines geheimen Schliissels wird aus diesem Hash-Wert die Sig- 
natur erzeugt. Die Signatur hangt also vom Sof tware-Modul und 
vom geheimen Schlussel ab . Fur die Erzeugung der Signatur 
wird beispielsweise eine 1024-Bit-Verschlusselung nach dem 
Algorithmus von Rivest-Shamir-Adleman (RSA-Verschlusselung) 
verwendet . 

Die Erzeugung von Signaturen wird auf einem Rechner durchge- 
fuhrt, der streng gegen unberechtigten Zugriff und gegen Ma- 
nipulationen geschiitzt wird. Beispielsweise betreibt der Zu- 
lieferer diesen Rechner und liefert die beiden Varianten und 
die beiden Signaturen an den Hersteller des Kraf tf ahrzeuges . 
Eine andere Ausf iihrungsf orm ist die, dass der Zulieferer le- 
diglich die beiden Varianten an den Hersteller liefert und 
dieser selber die Signaturen erzeugt. Beispielsweise ubermit- 
telt der Hersteller die Signaturen an den Zulieferer, und 
dieser ubertragt die Software-Module auf seine Ziel-Gerate 
und verwendet dabei die Signatur fur eine Priifung. Eine drit- 
te Ausf iihrungsf orm besteht daraus, dass ein zertif iziertes 
Trust Center die Signaturen erzeugt und die geheimen Schlus- 
sel verwaltet. 
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In einem permanenten, nicht iiberschreibbaren Speicher des 
Ziel-Gerats wird ein offentlicher Schlussel abgespeichert . 
Der offentliche Schlussel kann ausgelesen werden, er ist aber 
sowohl vor versehentlichem als auch vor vorsat zlichem Uber- 
schreiben oder Verfalschen oder Loschen geschiitzt. Vorzugs- 
weise versieht der Zulieferer das Ziel-Gerat mit dem offent- 
lichen Schlussel. Die Signatur wird nach dem Ubertragen und 
vor dem Aktivieren des Sof tware-Moduls mit Hilfe des offent- 
lichen Schliissels gepriif t . Durch diese Prufung wird sicherge- 
stellt, dass das Sof tware-Modul von einer vertrauenswurdigen 
Quelle kommt und nicht verfalscht oder manipuliert wurde. 

Als On-Board-Ubertragungsprotokoll wird beispielsweise das 
^Keyword Protocol 2000" (KWP2000) verwendet, das durch ISO 
14230-1 und ISO 15765-1 bis 15765-4 und VDA 14230-1 bis VDA 
14230-3 standardisiert wird. Befehle werden in KWP2000 durch 
Hexadezimal-Zahlen codiert, z.B. der Befehl „ReadEDUIdentif i- 
cation" (Auslesen einer Typ-Kennung fur ein Ziel-Gerat) durch 
$1A, 86. Die mit einem Sof tware-Modul iibertragenen Meta- 
Inf ormationen umfassen die fur das Protokoll KWP2000 notwen- 
digen Kommunikat ions- Parameter , die die Ubertragung an Bord 
vom Puf f erspeicher an ein Ziel-Gerat steuern, z. B. Blockgro- 
ften, Timing-Parameter , Ablaufinf ormationen und Adresse des 
Gerats auf dem Datenbus . Andere Ubertragungsprotokolle sind 
ebenfalls geeignet. Die Meta-Inf ormationen werden beispiels- 
weise ebenfalls in Form einer Tabelle ubertragen. Diese Ta- 
belle wird im Gegensatz zu der Tabelle fur die Freigabe- 
Prilfung erst wahrend des Ubertragungsvorganges generiert. 

Nachdem festgestellt wird, dass die ausgewahlten und als 
freigegeben erkannten Software-Module fehlerfrei und unver- 
falscht ubertragen wurden, werden mindestens folgende Inf or- 
mationen an die Zentrale ubermittelt : 

- eine eindeutige Kennung des Fahrzeugs, 

- welche Software-Module fehlerfrei und unverfalscht ubertra- 
gen wurden, 

- welches Gerat, z. B. welcher Diagnosetester, fur die Uber- 
tragung verwendet wurde 
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und das Datum und der Zeitpunkt, zu dem die Ubertragung ab- 
geschlossen wurde . 

Diese Inf ormationen werden in der Zentrale, beispielsweise in 
einem Konf igurat ions -Management -System, abgespeichert , und 
zwar bevorzugt in dem Datensatz fur das Fahrzeug. Dort wird 
weiterhin abgespeichert, wer die Obermittlung veranlaJSt hat. 
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Bezugszeichenliste 



Zeichen 


Bedeutung 


10 


Zentrale 


20.1, 20.2 


mobile Vorrichtungen init Ziel-Geraten 


50 


Einrichtung zur drahtlosen (Jbertragung 


110 


Steuerungs- und Regelungs-Einrichtung 


130 


Logistiksystem 


140 


Abrechnungs- System 


150 


Informations system 


160 


Central Remote Flashing Manager 


170 


Entscheidungsunterstiit zungs- System 


180 


Sende- und Empf angseinrichtung in der Zentrale 


190 


Mit dem Fahrzeug verbundene Sende- und Empf angsein- 
richtung 
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Patentanspruche 

1- Verfahren zum Ubertragen von Sof tware-Modulen von einer 
Zentrale (10) zu einer Ziel-Vorrichtung (20.1, 20.2) 

rnit Hilfe einer Einrichtung zur Datenubertragung in bei- 
den Richtungen, wobei 

- an Bord der Ziel-Vorrichtung (20.1, 20.2) Ziel-Gerate 
vorhanden sind, 

- fflr die Ziel-Gerate Gerate-Typ-Kennungen festgelegt 
werden, 

- fur die Software-Module Sof tware-Typ-Kennungen festge- 
legt werden, 

Inf ormationen iiber die Konf iguration der Ziel- 
Vorrichtung (20.1, 20.2) an die Zentrale (10) ubermit- 
telt werden 

- und eine Menge von Sof tware-Modulen ausgewahlt wird, 

dadurch gekennzeichnet, 
dass 

die Dateniibertragungseinrichtung eine drahtlose ist f 

- die Ziel-Vorrichtung (20.1, 20.2) eine mobile Vorrich- 
tung, insbesondere ein Verkehrs- oder Transportmittel, 
ist, 

- die Inf ormationen iiber die Konf iguration eine Auflis- 
tung umfassen, welche Ziel-Gerate und welche Software- 
Module zu Beginn der Ubertragung an Bord der Ziel- 
Vorrichtung (20.1, 20.2) tatsachlich vorhanden sind, 



WO 03/003200 



35 



PCT/EP02/06994 



Freigabe-Festlegungen vorgegeben sind, die unter Ver- 
wendung der Gerate-Typ-Kennungen und Sof tware-Typ- 
Kennungen festlegen, welche Software-Module fur welche 
Ziel-Gerate-Typen f reigegeben sind, 

unter Verwendung der Freigabe-Festlegungen gepriift 
wird, welche der ausgewahlten Software-Module fur die 
tatsachlich vorhandene Konf iguration freigegeben sind 

- und die fur die Konf iguration f reigegebenen Software- 
Module iibertragen werden. 

2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, 

dass bei der Auswahl der Menge von Sof tware-Modulen 

die tatsachlich vorhandene Konf iguration der mobilen Vor- 
richtung (20.1, 20.2) mit einer Soll-Konf iguration ver- 
glichen wird 

und die Software-Module in Abhangigkeit von der Abwei- 
chung zwischen der tatsachlich vorhandenen und der Soll- 
Konf iguration ausgewahlt werden. 

3. Verfahren nach Anspruch 1 oder Anspruch 2, 
dadurch gekennzeichnet, 

dass vor der Ubertragung der Software-Module gepriift 
wird, 

ob mit Hilfe der drahtlosen Dateniibertragungseinrichtung 
ein Ubertragungskanal mit einer fur die Ubertragung aus- 
reichenden Gute aufgebaut werden kann. 

4. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, 
dass 

Inf ormationen iiber eine der Zentrale bekannten Konfi- 
guration der mobilen Vorrichtung (20.1, 20.2) in einem 
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Konf igurat ions -Management- System oder Dokumentations- 
System abgespeichert werden 

eine Kennung der mobilen Vorrichtung (20.1, 20.2) zur 
Zentrale (10) ubermittelt wird, 

die an die Zentrale (10) ubermittelten Inf ormationen 
iiber die tatsachlich vorhandene Konf iguration mit de- 
nen uber die abgespeicherten Konf iguration verglichen 
werden 

und mindestens eine nicht iibermittelte Information ii- 
ber die tatsachlich vorhandene Konf iguration durch Le- 
sezugriff auf die abgespeicherte Konf iguration ersetzt 
oder erganzt wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, 

dass nach der Ubertragung mindestens eines der Software- 
Module die Information an die Zentrale (10) ubermittelt 
werden r 

ob das Sof tware-Modul tatsachlich fehlerfrei an die mobi- 
le Vorrichtung (20.1, 20.2) ubermittelt wurde. 

6. Verfahren nach Anspruch 5, 

dadurch gekennzeichnet, 
dass 

eine Kennung der mobilen Vorrichtung (20.1, 20.2) zur 
Zentrale (10) ubermittelt wird, 

und in einem Konf igurat ions -Management -System die In- 
formation abgespeichert wird, 

welche Ziel-Gerate und welche Software-Module nach 
AbschluB der Ubertragung an Bord der mobilen Vorrich- 
tung (20.1, 20.2) tatsachlich vorhanden sind. 
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7. Verfahren nach einem der Anspriiche 1 bis 6, 
dadurch gekennzeichnet, 
dass 

dass zusatzlich Informationen iiber den aktuellen Be- 
triebszustand der mobilen Vorrichtung (20.1, 20,2) an 
die Zentrale (10) uberrnittelt werden, 

in Abhangigkeit von den Betriebszustands-Inf ormationen 
entschieden wird, ob die mobile Vorrichtung (20. 1, 
20.2) sich in einem sicheren Zustand bef indet , 

- und dann, wenn sie sich in einem sicheren Zustand be- 
f indet, die ubertragenen Software-Module aktiviert 
werden . 

8. Verfahren nach einem der Anspriiche 1 bis 7, 
dadurch gekennzeichnet f 
dass 

Informationen iiber die Identitat der Stelle, die die 
Ubertragung der Software-Module anfordert, an die 
Zentrale (10) uberrnittelt werden 

und eine Berechtigungspriif ung fur die anfordernde 
Stelle durchgefuhrt wird. 

9. Verfahren nach einem der Anspriiche 1 bis 8, 
dadurch gekennzeichnet, 
dass 

fur mindestens ein Sof tware-Modul mit Hilfe eines ge- 
heimen Schliissels eine Signatur erzeugt wird, 

an Bord der mobilen Vorrichtung fur mindestens ein 
Ziel-Gerat ein offentlicher Schliissel abgespeichert 
wird 

- und die Signatur mit Hilfe des offentlichen Schliissels 
gepruft wird. 
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10. Ubertragungs-Vorrichtung zur Durchfiihrung des Verfahrens 
nach einem der Anspruche 1 bis 9, 

folgende Bestandteile umfassend: 

eine Einrichtung zur drahtlosen Dateniibertragung zwi- 
schen der Zentrale (10) und der mobilen Vorrichtung 
(20 . 1, 20.2) in beiden Richtungen 

und eine Steuerungs -Einrichtung zur Veranlassung der 
Ubermittlung von Sof tware-Modulen von der Zentrale 
(10) zur mobilen Vorrichtung (20.1, 20.2), wobei die 
Steuerungs -Einrichtung 

eine Einrichtung zur Ermittlung der zu Beginn der U- 
bertragung tatsachlich vorhandenen Konf iguration der 
mobilen Vorrichtung (20.1, 20.2), 

eine Einrichtung (17 0) zur Auswahl der Menge von 
Sof tware-Modulen, 

eine Einrichtung (160) fur eine Prufung, welche 
Software-Module fur die tatsachlich vorhandene Ron- 
figuration freigegeben sind, 

und eine Einrichtung zur Auswertung der Freigabe- 
Festlegungen 

umf afit . 

11. Ubertragungs-Vorrichtung nach Anspruch 10, 

dadurch gekennzeichnet, 

dass die Steuerungs-Einrichtung eine Einrichtung zur Er- 
mittlung, welche Software-Module fehlerfrei an die mobile 
Vorrichtung (20.1, 20.2) iibertragen wurden, umf aft t. 
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